NIST RMF Concepts à l’appui
Familiarisez-vous avec ces concepts, développés à partir des NIST RMF conseils.
Remarque :
À partir de la version 10.1.0, le NIST RMF Use Case Accelerator sera pris en charge uniquement pour les clients qui utilisent actuellement le produit. Les nouveaux clients et les clients existants doivent envisager d’utiliser l’application GRC : Continuous Authorization Monitoring. Pour en savoir plus, reportez-vous Autorisation et surveillance en continuà la section .
| Concept | Description |
|---|---|
| Cible | La cible est le fondement de la NIST RMF Use Case Accelerator et de tous les concepts associés. La cible est une table partagée entre les produits et plusieurs accélérateurs de cas d’utilisation ServiceNow® GRC . Ils sont similaires au concept de profils dans les applications principales GRC . Ils sont éventuellement liés à des profils, mais sont utilisés pour tous les attributs spécifiques aux accélérateurs de cas d’utilisation. Remarque : Chaque cible NIST RMF représente de manière unique un profil unique tout au long de son cycle de vie RMF. |
| Confidentialité (C) | La confidentialité est un objectif de sécurité d’une cible et est définie comme l’acte de préserver les restrictions autorisées sur l’accès et la divulgation d’informations, y compris les moyens de protéger la vie privée et les informations exclusives. La confidentialité est exprimée en valeurs élevées, modérées et faibles |
| Intégrité (I) | L’intégrité est un objectif de sécurité d’une cible est définie comme un acte de protection contre la modification ou la destruction inappropriée des informations, et comprend la garantie de la non-répudiation et de l’authenticité des informations. L’intégrité est exprimée sous forme de valeurs élevée, modérée et faible |
| Disponibilité (A) | La disponibilité est un objectif de sécurité d’une cible est définie comme l’acte d’assurer un accès et une utilisation rapides et fiables des informations. La disponibilité est exprimée en valeurs élevée, modérée et faible |
| Contrôles de la base de référence | Les contrôles de base sont un ensemble recommandé de contrôles de sécurité du National Institute of Standards and Technology (NIST) qui, lorsqu’ils sont mis en œuvre et jugés efficaces, atténueraient les risques de sécurité tout en respectant les exigences de sécurité. Les contrôles de la base de référence ont une valeur d’impact désignée qui est une combinaison de valeurs élevées, modérées ou faibles. |
| Analyse de l'impact | L’analyse d’impact détermine dans quelle mesure les changements proposés ou réels apportés à la cible ou à son environnement d’exploitation peuvent affecter ou ont affecté l’état de sécurité de la cible. Une cible dans laquelle les trois objectifs de sécurité CIA sont évalués à Faible est considérée comme ayant un impact faible et utilise l’un des contrôles de sécurité marqués comme ayant une valeur à faible impact. De même, une cible dans laquelle l’un des trois objectifs de sécurité de la CIA est évalué à Modéré est considérée comme ayant un impact modéré et utilise l’un des contrôles de sécurité marqués comme une valeur d’impact modéré. De même, une cible dans laquelle l’un des trois objectifs de sécurité de la CIA est évalué à Élevé est considérée comme ayant un impact élevé et utilise l’un des contrôles de sécurité marqués comme ayant une valeur d’impact élevé. |
| Assurance | Les contrôles d’assurance augmentent à la fois la force de la sécurité et le degré de confiance dans l’exactitude, l’exhaustivité et la cohérence de la fonctionnalité des cibles, atténuent le risque de sécurité et aident à se conformer aux exigences de sécurité |
| Commun | Les contrôles communs sont des contrôles qui sont héréditaires par une ou plusieurs cibles |
| Compensant | Les contrôles compensatoires sont des contrôles qui peuvent être utilisés à la place des contrôles de sécurité de base recommandés et qui offrent une protection équivalente ou comparable aux cibles |
| Supplémentaire | Les contrôles supplémentaires sont des contrôles qui peuvent être utilisés comme contrôles de sécurité supplémentaires pour répondre adéquatement aux besoins de gestion des risques d’une cible |
| Personnalisation | La personnalisation est un processus par lequel une base de référence de contrôle de sécurité est modifiée en fonction des éléments suivants : (i) Cibles, orientations en matière de définition du champ d’application ; (ii) la spécification des contrôles de sécurité, par exemple, la compensation, si nécessaire ; et (iii) la spécification de l’organisation — paramètres définis dans les contrôles de sécurité au moyen d’énoncés explicites d’affectation et de sélection |